Детальный разбор Firewall и NAT в MikroTik

Рет қаралды 12,029

Күн бұрын

В этом видео мы детально разберем основные и дополнительные правила Firewall и NAT в MikroTik, которые дадут нам безопасность и ускорят обработку пакетов.
00:00 Вступление
00:25 NAT Masquerade
13:06 Защита от атак
13:14 DNS
16:50 Ограничить доступ к WinBox по IP
24:00 Отключаем лишние службы
25:56 Отключаем BTest Server
26:38 Отключаем IPv6
28:34 Ограничить доступ к WinBox по MAC
31:15 Проброс портов
37:11 fasttrack connection
41:10 Заключение

Пікірлер: 55

@pa4h1337 25 күн бұрын

Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!

@zh_sanek8658 28 күн бұрын

Автору: Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком. Читателям комментариев: Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.

@aib0lit Ай бұрын

Супер объяснение!!!! СПАСИБО.

@ZeusMoscow 3 ай бұрын

Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.

@adamdark1200 2 ай бұрын

Интересно. Все доходчиво!

@medovik96 3 ай бұрын

Продолжай в том же духе!!!

@haykpapyan8649 4 ай бұрын

Спасибо. Все очень понятно!

@privaltv 3 ай бұрын

семен, плес

@user-uw6qe1fj8v 3 ай бұрын

Отличный видос, продолжай!

@privaltv 3 ай бұрын

семен, плес

@mbartuli 3 ай бұрын

Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!

@DavidCohen-ux8tz 4 ай бұрын

Молодец ! Классно обьясняеш, не то что некоторые !

@privaltv 3 ай бұрын

семен, плес

@v6661977 3 ай бұрын

Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.

@sergey1018 3 ай бұрын

А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.

@immickful 3 сағат бұрын

Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?

@immickful 2 сағат бұрын

34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?

@ProficusLets 4 ай бұрын

Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!

@privaltv 3 ай бұрын

семен, плес

@immickful 3 сағат бұрын

В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?

@romroma3219 4 ай бұрын

Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое

@MGTOW_Element 3 ай бұрын

Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.

@user-qr1li6pj2c 3 ай бұрын

По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.

@kutycr 5 ай бұрын

отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.

@loskiq 5 ай бұрын

спасибо! да, такое в планах тоже есть. обязательно сделаю!

@romroma3219 4 ай бұрын

Поддерживаю вопрос

@user-zn7hd1dx4v 4 ай бұрын

@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)

@desantovih Ай бұрын

круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))

@loskiq 11 күн бұрын

для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.

@user-qr1li6pj2c 3 ай бұрын

Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.

@user-qr1li6pj2c 3 ай бұрын

Досмотрел видео дальше и понял в чем я ошибся.

@neblogervovan Ай бұрын

Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?

@zh_sanek8658 28 күн бұрын

либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns

@DeepHouse29 3 ай бұрын

Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???

@EmptyUser Ай бұрын

поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)

@levapcamaro1364 Ай бұрын

Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.

@loskiq 11 күн бұрын

если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут

@user-eg5ey6zc8j Ай бұрын

Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе

@loskiq 11 күн бұрын

этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.

@user-ij2yd4pw1l 4 ай бұрын

при включении fasttrack у вас не будут работать qos

@loskiq 4 ай бұрын

да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер

@MGTOW_Element 3 ай бұрын

18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.

@SETVERSE 2 ай бұрын

А если нет пункта 20:43 Srс. Address List?

@loskiq 2 ай бұрын

значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок

@SETVERSE 2 ай бұрын

@@loskiq спасибо!

@SsergeySav 5 ай бұрын

А где мой комментарий?

@loskiq 4 ай бұрын

хм, не знаю. я ничего не удалял. что писали?

@SsergeySav 4 ай бұрын

@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает

@SsergeySav 4 ай бұрын

скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение

@loskiq 4 ай бұрын

да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.

@privaltv 3 ай бұрын

кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков

@MGTOW_Element 3 ай бұрын

А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить. Видео может быть полезным в случае, если хочешь узнать как другие настраивают.

@privaltv 3 ай бұрын

@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору

@MGTOW_Element 3 ай бұрын

@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. И кто сказал, что я автор видео?🤔 Я настроил свои роутеры по статьям. По видео это сделать невозможно.

@privaltv 3 ай бұрын

@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого. Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние. >Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. Сложно понять что ты хотел сказать этим несвязным бредом.